-
Постов
247 -
Зарегистрирован
-
Посещение
-
Победитель дней
1
Активность репутации
-
Kylaksizov отреагировална пост RealUser в Чат для администраторов
Kylaksizov, про Федины проделки может тоже спросишь?
-
Kylaksizov отреагировална пост zhenyasim в Чат для администраторов
Kylaksizov, нет. Именно фильтрацию.
Пример кода. Переделаете под себя:
class XssFilter extends CFilter { public $clean = 'all'; protected function preFilter($filterChain) { $this->clean = trim(strtoupper($this->clean)); $data = array( 'GET' => &$_GET, 'POST' => &$_POST, 'COOKIE' => &$_COOKIE, 'FILES' => &$_FILES ); if($this->clean === 'ALL' || $this->clean === '*') { $this->clean = 'GET,POST,COOKIE,FILES'; } $dataForClean = split(',',$this->clean); if(count($dataForClean)) { foreach ($dataForClean as $key => $value) { if(isset ($data[$value]) && count($data[$value])) { $this->doXssClean($data[$value]); } } } return true; } protected function postFilter($filterChain) { // logic being applied after the action is executed } private function doXssClean(&$data) { if(is_array($data) && count($data)) { foreach($data as $k => $v) { $data[$k] = $this->doXssClean($v); } return $data; } if(trim($data) === '') { return $data; } // xss $data = str_replace(array('&','<','>'), array('&amp;','&lt;','&gt;'), $data); $data = preg_replace('/(&#*w+)[x00-x20]+;/u', '$1;', $data); $data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data); $data = html_entity_decode($data, ENT_COMPAT, 'UTF-8'); // Remove any attribute starting with "on" or xmlns $data = preg_replace('#(<[^>]+?[x00-x20"'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data); // Remove javascript: and vbscript: protocols $data = preg_replace('#([a-z]*)[x00-x20]*=[x00-x20]*([`'"]*)[x00-x20]*j[x00-x20]*a[x00-x20]*v[x00-x20]*a[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu', '$1=$2nojavascript...', $data); $data = preg_replace('#([a-z]*)[x00-x20]*=(['"]*)[x00-x20]*v[x00-x20]*b[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu', '$1=$2novbscript...', $data); $data = preg_replace('#([a-z]*)[x00-x20]*=(['"]*)[x00-x20]*-moz-binding[x00-x20]*:#u', '$1=$2nomozbinding...', $data); // Only works in IE: <span style="width: expression(alert('Ping!'));"></span> $data = preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?expression[x00-x20]*([^>]*+>#i', '$1>', $data); $data = preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?behaviour[x00-x20]*([^>]*+>#i', '$1>', $data); $data = preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:*[^>]*+>#iu', '$1>', $data); // Remove namespaced elements (we do not need them) $data = preg_replace('#</*w+:w[^>]*+>#i', '', $data); do { // Remove really unwanted tags $old_data = $data; $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data); } while ($old_data !== $data); return $data; } } ?>
Дальше я уже завтра поищу уязвимости.
-
Kylaksizov отреагировална пост zhenyasim в Чат для администраторов
Kylaksizov, погуглите. Много полезной инфы по фильтрации найдете. Я понимаю, что нет. У вас данные тупо http-запросами передаются, на сколько я понял. Я просто пример привел. Объяснил и подтолкнул. Дальше дело за вами.
-
Kylaksizov отреагировална пост zhenyasim в Чат для администраторов
Kylaksizov, мне просто понравились эти шарики.
Теперь по теме:
Пока что нашел одну XSS атаку.
echo file_get_contents($_POST['wm']); В файле get_mes.php
Рекомендую запретить включение напрямую таких параметров. Или сделать фильтрацию запросов.
-
Kylaksizov получил реакцию от Recouse в Чат для администраторов
Fedya, Молодец. Только мне интересно, почему ты только с его логина пишешь, меня сможешь взломать?
-
Kylaksizov получил реакцию от RealUser в Чат для администраторов
Fedya, Молодец. Только мне интересно, почему ты только с его логина пишешь, меня сможешь взломать?
-
-
Kylaksizov получил реакцию от RealUser в Чат для администраторов
У меня просьба к профессионалам php. Попытайтесь взломать чей-то аккаунт в чате, или что нибудь натворить. Мне нужно знать как работает безопасность.
-
Kylaksizov получил реакцию от RealUser в Чат для администраторов
Свежая версия, где улучшена система безопасности.
WM-CHAT 1.2.rar
-
Kylaksizov получил реакцию от Recouse в Чат для администраторов
Свежая версия, где улучшена система безопасности.
WM-CHAT 1.2.rar
-
Kylaksizov получил реакцию от SoundMonster в Чат для администраторов
Собрал небольшой чатик для общения между владельцами сайтов или форумов.
Чат хорош тем, что если вы чем-то желаете поделиться с другими владельцами сайтов, вы делитесь в чате свободно. Т.е. пишите например сообщение, ссылку на интересную статью или хотите поделиться каким-то файлом, картинкой. А так же просто общаться.
Никаких левых ссылок с вашего сайта. Всё закрыто от поисковиков и посторонних лиц. Доступ к чату имеет только тот, у кого он установлен. Все сообщения чата хранятся на одном сервере. Т.е. вам ненужно устанавливать базу. Просто установить чат введя только логин и пароль, вот и вся установка.
Скрипт чата в свободном доступе.
Если я нарушил какие-то правила удалите тему, но вроде бы я написал в раздел флем.
Думаю многим будет интересно, так как на форумах не разрешают ссылок, а в чате свободно.
Вот скрипт чата.
Новая версия WM-CHAT 1.1.rar
Забыл приложить скриншоты, что было понятно.
-
Kylaksizov отреагировална пост Fedya в Чат для администраторов
Мне не нравится, когда в слове нравится есть мягкий знак
-
Kylaksizov получил реакцию от SanyaSamp в Чат для администраторов
Собрал небольшой чатик для общения между владельцами сайтов или форумов.
Чат хорош тем, что если вы чем-то желаете поделиться с другими владельцами сайтов, вы делитесь в чате свободно. Т.е. пишите например сообщение, ссылку на интересную статью или хотите поделиться каким-то файлом, картинкой. А так же просто общаться.
Никаких левых ссылок с вашего сайта. Всё закрыто от поисковиков и посторонних лиц. Доступ к чату имеет только тот, у кого он установлен. Все сообщения чата хранятся на одном сервере. Т.е. вам ненужно устанавливать базу. Просто установить чат введя только логин и пароль, вот и вся установка.
Скрипт чата в свободном доступе.
Если я нарушил какие-то правила удалите тему, но вроде бы я написал в раздел флем.
Думаю многим будет интересно, так как на форумах не разрешают ссылок, а в чате свободно.
Вот скрипт чата.
Новая версия WM-CHAT 1.1.rar
Забыл приложить скриншоты, что было понятно.
-
Kylaksizov получил реакцию от RealUser в Чат для администраторов
LvsF, я додуплил, что ты, только меня интересует зачем пишешь ненужное? Если критикуешь, то я только за, что б знать и улучшить.
-
-
-
Kylaksizov получил реакцию от RealUser в Чат для администраторов
Собрал небольшой чатик для общения между владельцами сайтов или форумов.
Чат хорош тем, что если вы чем-то желаете поделиться с другими владельцами сайтов, вы делитесь в чате свободно. Т.е. пишите например сообщение, ссылку на интересную статью или хотите поделиться каким-то файлом, картинкой. А так же просто общаться.
Никаких левых ссылок с вашего сайта. Всё закрыто от поисковиков и посторонних лиц. Доступ к чату имеет только тот, у кого он установлен. Все сообщения чата хранятся на одном сервере. Т.е. вам ненужно устанавливать базу. Просто установить чат введя только логин и пароль, вот и вся установка.
Скрипт чата в свободном доступе.
Если я нарушил какие-то правила удалите тему, но вроде бы я написал в раздел флем.
Думаю многим будет интересно, так как на форумах не разрешают ссылок, а в чате свободно.
Вот скрипт чата.
Новая версия WM-CHAT 1.1.rar
Забыл приложить скриншоты, что было понятно.
-
Kylaksizov отреагировална пост LvsF в Чат для администраторов
Баг-репорт.
А я без установки чата могу читать и писать сообщения
-
Kylaksizov отреагировална пост RealUser в Чат для администраторов
Использую чат с самого его создания. Участвовал в тестировании. Скажу одно: классно! Большое Спасибо Владимиру.
-
-
Kylaksizov получил реакцию от Recouse в Чат для администраторов
Собрал небольшой чатик для общения между владельцами сайтов или форумов.
Чат хорош тем, что если вы чем-то желаете поделиться с другими владельцами сайтов, вы делитесь в чате свободно. Т.е. пишите например сообщение, ссылку на интересную статью или хотите поделиться каким-то файлом, картинкой. А так же просто общаться.
Никаких левых ссылок с вашего сайта. Всё закрыто от поисковиков и посторонних лиц. Доступ к чату имеет только тот, у кого он установлен. Все сообщения чата хранятся на одном сервере. Т.е. вам ненужно устанавливать базу. Просто установить чат введя только логин и пароль, вот и вся установка.
Скрипт чата в свободном доступе.
Если я нарушил какие-то правила удалите тему, но вроде бы я написал в раздел флем.
Думаю многим будет интересно, так как на форумах не разрешают ссылок, а в чате свободно.
Вот скрипт чата.
Новая версия WM-CHAT 1.1.rar
Забыл приложить скриншоты, что было понятно.
-
Kylaksizov отреагировална пост Recouse в Некоторые пользователи не могут загрузить файлы
скачаешь архив, и всё из папки upload закидываешь в корень форума
-
Kylaksizov отреагировална пост Pashok(one) в Конкурс на лучший форум [Этап 2]
Писал же в личку что не могу оплатить холстинг т.к не могу починить компьютер, по стараюсь сейчас оплатить с айпада хотя это весьма муторно. надеюсь вы вернете меня в конкурс
-
Kylaksizov отреагировална пост RealUser в Конкурс на лучший форум [Этап 2]
Спешу всем сообщить, что форум 3iu.ru/forum Дисквалифицирован!
Причина: форум не рабочий, а такие форумы, к сожалению не могут принимать участие в конкурсе. Форум должен быть рабочим на протяжении всего конкурса.
P/s lg29 я писал в личку, ты не ответил. Так что я вынужден был дисквалифицировать сам. Всё таки последний день голосования Что бы участники (особенно владелец форума) не подумал что мы жульничаем.
-
Kylaksizov отреагировална пост Recouse в Google Webfonts by Tom Christian 1.0.0
RealUser, Font Chooser что ли?